Поделиться через


Управление клиентами и ролями пользователей в SPF

System Center — Service Provider Foundation (SPF) не создает роли пользователей или не определяет их область. Для настройки клиентов требуется открытый ключ сертификата, используемый для проверки утверждений, сделанных от имени клиента.

Создание сертификата

Если у вас нет существующего сертификата ЦС, можно создать самозаверяющий сертификат. Вы можете экспортировать открытые и закрытые ключи из сертификата и связать открытый ключ с клиентом.

Получение самозаверяющего сертификата

Создайте сертификат с помощью makecert.exe (средство создания сертификатов).

  1. Откройте командную строку с правами администратора.

  2. Создайте сертификат с помощью следующей команды:

    makecert -r -pe -n "cn=contoso.com" -b 07/12/2012 -e 09/23/2014 -ss My -sr CurrentUser -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 -sky exchange  
    
  3. Эта команда помещает сертификат в хранилище сертификатов текущего пользователя. Чтобы получить доступ к нему, на начальном экране введите certmgr.msc, а затем в результатах приложения выберите certmgr.msc. В окне certmgr выберите "Сертификаты — текущие личные>сертификаты пользователей".>

Экспорт открытого ключа

  1. Щелкните правой кнопкой мыши сертификат >"Экспорт всех задач>".
  2. В разделе "Экспорт закрытого ключа" нажмите кнопку "Нет", не экспортируйте закрытый ключ>далее.
  3. В формате экспорта файла выберите в кодировке Base-64 X.509 (). CER)>Далее.
  4. В файле для экспорта укажите путь и имя файла для сертификата >Next.
  5. В мастере экспорта сертификатов нажмите кнопку "Готово".

Чтобы экспортировать с помощью PowerShell, выполните следующую команду:

``S C:\> $path = "C:\Temp\tenant4D.cer"  

PS C:\> $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($path)  

PS C:\> $key = [Convert]::ToBase64String($cert.RawData)``

Экспорт закрытого ключа

  1. Щелкните правой кнопкой мыши сертификат >"Экспорт всех задач>".
  2. В разделе "Экспорт закрытого ключа" нажмите кнопку "Да", экспортируйте закрытый ключ>Далее. Если этот параметр недоступен и вы создали самозаверяющий сертификат, убедитесь, что он включен в параметр -pe.
  3. В формате экспорта файла выберите "Обмен персональными данными" — PKCS #12 (). PFX). Убедитесь, что включите все сертификаты в путь сертификации, если это возможно , и нажмите кнопку "Далее".
  4. В файле для экспорта укажите путь и имя файла для сертификата >Next.
  5. В мастере экспорта сертификатов нажмите кнопку "Готово".

Создание клиента

Service Provider Foundation не создает роли пользователей или не определяет их область (например, облака), ресурсы или действия. Вместо этого New-SCSPFTenantUserRole командлет создает связь для клиента с именем роли пользователя. При создании этой связи также создается идентификатор, который можно использовать для соответствующего идентификатора для создания роли в System Center 2016 — диспетчер виртуальных машин.

Вы также можете создавать роли пользователей с помощью службы протокола OData администратора с помощью руководства разработчика.

  1. Запустите командную оболочку SPF от имени администратора.

  2. Введите приведенную ниже команду для создания клиента. Эта команда предполагает, что $key переменная содержит открытый ключ.

    PS C:\> $tenant = New-SCSPFTenant -Name "contoso.cloudspace.com" -IssuerName "contoso.cloudspace.com" -Key $key  
    
  3. Выполните следующую команду, чтобы убедиться, что открытый ключ клиента успешно импортирован:

    PS C:\> Get-SCSPFTrustedIssuer  
    

    Следующая процедура использует созданную $tenant переменную.

Создание роли администратора клиента в VMM

  1. Введите следующая команда и подтвердите согласие на это повышение прав для командной оболочки Windows PowerShell:

    PS C:\> Set-Executionpolicy remotesigned  
    
  2. Введите следующую команду, чтобы импортировать модуль VMM:

    PS C:\> Import-Module virtualmachinemanager  
    
  3. Используйте командлет Windows PowerShell T:Microsoft.SystemCenter.VirtualMachineManager.Cmdlets.New\-SCUserRole для создания роли пользователя. Эта команда предполагает $tenant переменную, созданную, как описано в приведенной выше процедуре.

    PS C:\> $TARole = New-SCUserRole -Name contoso.cloudspace.com -ID $tenant.Id -UserRoleProfile TenantAdmin  
    
    

    Внимание

    Обратите внимание, что если роль пользователя была создана ранее с помощью консоли администрирования VMM, его разрешения будут перезаписаны теми, которые указаны командлетом New\-SCSUserRole .

  4. Убедитесь, что роль пользователя была создана, убедившись, что она указана в рабочей области "Параметры" в консоли администрирования VMM.

  5. Определите следующую роль, выбрав роль и выбрав "Свойства " на панели инструментов:

    • В области выберите один или несколько облаков.

    • В ресурсах добавьте все ресурсы, такие как шаблоны.

    • В списке "Действия" выберите одно или несколько действий.

    Повторите эту процедуру для всех серверов, привязанных к клиенту.

    Следующая процедура использует созданную $TARole переменную.

Создание роли пользователя самообслуживания клиента в VMM

  1. Введите следующую команду, чтобы создать пользователя самообслуживания в SPF для созданного клиента:

    PS C:\> $TenantSSU = New-SCSPFTenantUserRole -Name ContosoCloudSpaceSSU -Tenant $tenant   
    
  2. Создайте соответствующую роль пользователя клиента в VMM, введя следующую команду:

    PS C:\> $vmmSSU = New-SCUserRole -Name ContosoCloudSpaceVMMSSU -UserRoleProfile SelfServiceUser -ParentUserRole $TARole -ID $TenantSSU.ID  
    
    
  3. Убедитесь, что роль пользователя была создана, убедившись, что она указана в рабочей области "Параметры" в консоли администрирования VMM. Обратите внимание, что родительской ролью для роли является администратор клиента.

Повторите эту процедуру по мере необходимости для каждого клиента.